AN NINH MẠNG IP-Tính hiệu quả của các chính sách, số lượng cũng như các tác động của các vấnđề bảo mật đã ghi lại, …-Chi phí và ảnh hưởng của các phép kiểm soát đến hiệu quả kinh doanh.-Hiệu quả của việc thay đổi kỹ thuật.1.6.3 Một ví dụ về chính sách an toàn thông tinPhần này sẽ giới thiệu các chính sách về password.o Khái quát chungPassword là một khía cạnh quan trọng trong an ninh mạng máy tính. Đó chính làphòng tuyến bảo vệ đầu tiên đối user account (tài khoản cá nhân - tài khoản người sửdụng). Một password "yếu" có thể trở thành một sự "thoả hiệp" cho việc xâm nhập vàomạng máy tính của doanh nghiệp hay cơ quan. Vấn đề này được hiểu là tất cả nhânviên của công ty hay doanh nghiệp (những người thường xuyên truy nhập mạng củadoanh nghiệp) phải có trách nhiệm thực hiện các biện pháp thích hợp ở một mức nàođó để lựa chọn và đảm bảo an toàn password của họ.o Mục tiêuMục tiêu của chính sách này là thiết lập các tiêu chuẩn cho việc tạo ra cácpassword "mạnh", bảo vệ các password này và thường xuyên thay đổi theo thời gianquy định.o Phạm vi của chính sáchPhạm vi điều chỉnh của chính sách với tất cả mọi người có account hoặc người cótrách nhiệm về account (hoặc với bất cứ dạng form nào có hỗ trợ hoặc yêu cầupassword) trên bất cứ hệ thống nào có truy nhập vào mạng, hoặc truy nhập vào nơi lưutrữ thông tin riêng tư.o Chính sáchTổng quátTất cả các password ở mức hệ thống (root, enable, NT admin, applicationadministration account, ...) đều phải đổi password ít nhất là 3 tháng một lần.Quản lý tất cả các password ở mức hệ thống sản xuất phải là một phần việc củacông việc quản lý password tổng thể của đơn vị có trách nhiệm về vấn đề an toànthông tin.Tất cả các password ở mức người sử dụng (email, web, desktop computer, ...) cầnphải được thay đổi ít nhất 6 tháng một lần, khuyến nghị có thể thay đổi 4 tháng mộtlần.Password không được đưa vào nội dung email hoặc bất cứ form giao dịch điện tửnào.24Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT CHƯƠNG 3 - CHÍNH SÁCH, GIẢI PHÁP & THIẾT BỊ BẢO VỆ MẠNGCác chuỗi cần được định nghĩa không trùng với các chuỗi tiêu chuẩn như "public,""private" và "system" và phải khác với password sử dụng để đăng nhập các giao diệntương tác và hàm khoá hash phải được sử dụng nơi sử dụng SNMP (ví dụ SNMPv2)Các password của các mức hệ thống và mức user phải thoả mãn các quy tắc đãđược mô tả phần tiếp theo.Các nguyên tắcNguyên tắc chung xây dựng password:Password được sử dụng với mục đích khác nhau tại công ty, doanh nghiệp. Một sốpassword được sử dụng phổ biến bao gồm: user level account, web account, emailaccount, screen saver protection, voicemail password, and local router logins. Một sốhệ thống hỗ trợ sử dụng thẻ one-time token (sử dụng password thay đổi hay passworddùng một lần), mỗi người sử dụng cần hiểu biết cách lựa chọn password mạnh khi sửdụng.Password yếu thường có các đặc tính sau:Độ dài password nhỏ hơn 8 ký tự.Password là một từ có trong từ điển (tiếng Anh hoặc ngôn ngữ nào đó).Password nói chung sử dụng những từ như:+ Tên của gia đình, tên vật nuôi, tên bạn bè, nhân viên cộng tác, các thuộc tínhtưởng tượng, ...+ Tên và những vấn đề liên quan đến máy tính, các lệnh, các vị trí, tên các thứ kèmtheo, phần cứng, phần mềm.+ Các từ như tên công ty, "sanjose", "sanfran" hoặc bất cứ từ nguồn gốc nào.+ Ngày sinh và những thông tin cá nhân như địa chỉ, số điện thoại, …+ Các từ hay số có kiểu như: aaabbb, qwerty, zyxwvuts, 123321, ...+ Bất cứ những từ đã trình bày ở trên nhưng được trình bày ngược lại.+ Bất cứ những từ đã trình bày ở trên và được thêm trước và sau nó là số (e.g.,secret1, 1secret)Password mạnh thường có các thuộc tính sau:Password bao gồm các ký tự thường và viết hoa (như: a-z, A-Z)Password bao gồm số và các ký tự câu ngữ pháp cũng như các ký tự như: 0-9, !@#$%^&*()_+|~-=\`{}[]:";'<>?,./)Có độ dài ít nhất 8 ký tự chữ và sốKhông phải là một từ trong: bất kỳ ngôn ngữ nào, tiếng lóng, ngữ pháp, từ ngữchuyên môn.Không phải dựa trên thông tin cá nhân, tên của gia đình, ...Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT25 AN NINH MẠNG IPPassword không bao giờ được viết hoặc lưu trữ on-line. Cố gắng tạo password màcó thể dễ nhớ. Một cách để làm như vậy đó là tạo password dựa trên tên bài hát, cáccâu khẳng định, hoặc các cụm từ khác. Ví dụ như "This May Be One Way ToRemember", "TmB1w2R!" hoặc "Tmb1W>r~"Các tiêu chuẩn bảo vệ password:Không sử dụng cùng một password cho account của công ty và những truy nhậpkhông thuộc phạm vi công ty quản lý (account cá nhân ISP, lựa chọn kinh doanh vàphúc lợi....). Không sử dụng cùng password cho việc truy nhập ở các hệ thống khácnhau. Ví dụ, lựa chọn một password cho hệ thống engineering và password riêng chohệ thống IT. Cũng tương tự như vậy, chọn password riêng biệt cho NT account vàUNIX account.Không được chia sẻ password với bất kỳ ai, kể cả người hỗ trợ quản lý hay thư ký.Tất cả password cần được giữ gìn như thông tin mật một cách thận trọng.Những việc không được làm+ Không được tiết lộ password qua điện thoại với bất kỳ ai+ Không được tiết lộ password qua email+ Không được tiết lộ password với sếp+ Không được nói về password trước mặt người khác+ Không được gợi ý về password+ Không được tiết lộ password qua bản thăm dò ý kiến hay các form về bảo mật+ Không được chia sẻ password với các thành viên khác trong gia đình+ Không được tiết lộ password với người cộng tác.Nếu có ai đó yêu cầu password thì hãy chuyển cho họ xem tài liệu này hoặc bảo họgọi điện thoại tới bộ phận có trách nhiệm bảo mật thông tin.Không sử dụng thuộc tính lưu password của các ứng dụng (như Eudora, OutLook,Netscape Messenger...).Không được viết, lưu password tại văn phòng. Không được lưu password trên fileở bất kỳ hệ thống máy tính nào mà không được mã hoá.Thay đổi password cứ 6 tháng 1 lần (trừ password mức hệ thống, thay đổi 3 tháng1 lần). Khuyến nghị thay đổi cứ 4 tháng 1 lần.Nếu password hoặc account bị nghi ngờ là đã có sự thoả hiệp, báo cáo ngay sựviệc cho bộ phận chịu trách nhiệm về an toàn thông tin và thay đổi toàn bộ password.Kiểm tra độ tin cậy của password được thực hiện thường xuyên bởi bộ phận chịutrách nhiệm về an toàn thông tin. Nếu password có nguy cơ bị lộ thì người dùng cầnđược yêu cầu đổi password.Các tiêu chuẩn phát triển ứng dụng:26Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT CHƯƠNG 3 - CHÍNH SÁCH, GIẢI PHÁP & THIẾT BỊ BẢO VỆ MẠNGCác chuyên viên phát triển ứng dụng phải nắm chắc nội dung các chương trìnhphòng ngừa mất an toàn sau:• Nên xây dựng hỗ trợ xác thực với mỗi cá nhân riêng biệt, không hỗ trợnhóm• Không lưu password dưới dạng bản rõ, hay bất kỳ dạng nào dễ khám phá.• Nên cung cấp phần mềm giữ vai trò quản lý, để một user có thể thực hiệnchức năng mà không cần phải biết password.• Nên hỗ trợ TACACS+ , RADIUS hay là X.509 với LDAP phục hồi an ninhnếu có thểSử dụng password và cụm từ cho truy nhập từ xa:Truy nhập mạng với truy nhập từ xa cần phải được kiểm soát và sử dụng passwordxác thực một lần hoặc hệ thống khoá công khai/bí mật với passphrase mạnh.Passphrase:Passphrase là khái niệm chung được sử dụng trong xác thực khoá công khai/bímật. Hệ thống khoá công khai bí mật định nghĩa mối quan hệ toán học giữa khoá côngkhai mọi người đều biết và khoá bí mật chỉ có người sử dụng biết, không cópassphrase để "unlock" mở khoá riêng thì người dùng không thể truy nhập thành công.Passphrase không giống như password. Passphrase là kiểu dài hơn của passwordvà do đó an toàn hơn. Passphrase là một kiểu điển hình của nhiều từ phức tạp. Do đó,nó an toàn hơn với kiểu tấn công từ điển.Một passphrase tốt gồm đặc tính có độ dài và chứa các ký tự thường và hoa và sốvà ký tự về câu. Ví dụ: "The*?#>*@TrafficOnThe101Was**&#!#ThisMorning"Tất cả các luật cho password cũng áp dụng cho passphrase.1.7 GIẢI PHÁP BẢO VỆ MẠNG1.7.1 Giới thiệu chung về VPNSự mở rộng của Internet toàn cầu và sự thống trị của các ứng dụng trên nền IP (IPbased applications) đã mở đường cho các nhà cung cấp dịch vụ trong việc phát triển vàcung cấp các dịch vụ mới cho khách hàng. Một trong những giải pháp mang tính thờisự hiện nay đổi với tất cả các nhà cung cấp truy nhập (IAP) và cung cấp dịch vụ (ISP)là VPN (Virtual Pravate Network). Đây là giải pháp mang lại hiệu quả cao về kinh tế,chất lượng cũng như sự đảm bảo độ tin cậy dữ liệu cho khách hàng. Để đáp ứng nhucầu sử dụng VPN, đồng thời đa dạng hoá các loại hình dịch vụ cung cấp cho kháchhàng.o Khái niệm về VPNNgày nay, có rất nhiều định nghĩa khác nhau về VPN, xét về bản chất VPN đượcđịnh nghĩa như sau:Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT27 AN NINH MẠNG IP“VPN là một mạng ảo được xây dựng tích hợp trên môi trường mạng công cộng,cơ chế hoạt động của mạng ảo này tương tự như 01 mạng riêng”.o Công nghệ VPNNgoài cách phân loại VPN theo phân lớp OSI, người ta còn có thể chia VPN theophương pháp thiết lập: kiểu “overlay” hay kiểu “peer”. Trong phương thức xây dựngkiểu “overlay”, mạng được xây dựng bằng cách tạo đường hầm từ điểm này sang điểmkhác mà ít quan tâm đến các hop trên 1 đường hầm. Như vậy, có thể coi kết nối từđiểm này sang điểm khác theo kiểu point-to-point từ hai điểm kết đầu cuối. Vớiphương thức thiết lập theo mô hình “peer”, dữ liệu truyền đi trên mạng theo từng hopvà như vậy giống với mô hình truyền dữ liệu theo giao thức IP truyền thống. Hiện có 3nguyên lý xây dựng mạng VPN trên nền tảng hạ tầng mạng IP công cộng:o Kết hợp IP access-list và chính sách định tuyếnĐây là mô hình VPN không rành mạch và khó thực thi: Nhà cung cấp sẽ thực hiệnfilter lưu lượng cũng như các thông tin định tuyến giữa các site đầu cuối. Có hai yêucầu chính cho mô hình này là phải thuê mạng lưới của 1 nhà cung cấp dịch vụ duynhất và địa chỉ IP phải xác định. Loại VPN này có thể xếp vào loại “peer” vì mỗi mộtđiểm trên mạng lưới đều tham gia vào quá trình định tuyến cho lưu lượng của mạngVPN. Hạn chế cơ bản của nguyên lý xây dựng VPN này là khi mạng VPN càng pháttriển sẽ càng khó quản lý, quá phức tạp và không linh hoạt khi ta tiếp tục xây dựng cáckết nối peer.o Mã hóa và tạo đường hầmCó rất nhiều phương thức tạo đường hầm khác nhau được sử dụng, và phươngthức mã hóa thì được lựa chọn và phụ thuộc vào chính sách của mỗi công ty khácnhau. Các giao thức tạo đường hầm có thể là GRE, L2TP, L2F, PPTP... Phương thứcmã hóa có thể là theo một chuẩn mã hóa phát triển riêng hoặc theo IPSec. Đây là VPNkiểu “overlay” bởi vì dữ liệu mã hóa của mạng VPN chạy bên trong các đường hầmđược xây dựng từ điểm này tới điểm kia.VPN trên công nghệ IPSec: IPSec là chuẩn mở qui định khả năng mã hoá và bảomật dữ liệu mạng dùng riêng được truyền tải trên mạng công cộng. Chuẩn IPSec đượcphát triển bởi IETF (Internet Engineering Task Force), đảm bảo tính bảo mật, nguyênvẹn, và khả năng xác thực cho các dữ liệu mạng dùng riêng VPN. Khả năng mã hoá vàxác thực có thể được thực hiện trên nhiều mức khác nhau như hình minh hoạ dưới đây:28Chương trình bồi dưỡng kiến thức IP và NGN cho kỹ sư ĐTVT của VNPT |
